openSUSE 安全性更新:subversion (openSUSE-SU-2013:0687-1)
medium Nessus Plugin ID 74976
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
Subversion 已收到微調版本更新,可修正 mod_dav_svn 中可能導致拒絕服務的遠端可觸發弱點。在 openSUSE 12.1 上:
- 1.6.21 [bnc#813913] 的更新,解決可從遠端觸發的問題
+ CVE-2013-1845:內容變更導致的 mod_dav_svn 記憶體使用率過高
+ CVE-2013-1846:針對活動 URL 提出 LOCK 要求時發生 mod_dav_svn 損毀
+ CVE-2013-1847:針對不存在的 URL 提出 LOCK 要求時發生 mod_dav_svn 損毀
+ CVE-2013-1849:針對活動 URL 提出 PROPFIND 要求時發生 mod_dav_svn 損毀
- 深入變更:
+ mod_dav_svn 將針對活動 url 省略一些內容值
+ 改善認可 mod_dav_svn 中內容時的記憶體使用量
+ 修正 mod_dav_svn 執行 pre-revprop-change 兩次的問題
+ 已修正:post-revprop-change 錯誤取消認可
+ 已改善 mod_dav_svn 的鎖定實作中的邏輯。
+ 修正 g++ 4.7 的相容性問題
在 openSUSE 12.2 和 12.3 上:
- 1.7.9 [bnc#813913] 的更新,解決 mod_dav_svn 中可能導致拒絕服務之可從遠端觸發的弱點:
+ CVE-2013-1845:內容變更導致的 mod_dav_svn 記憶體使用率過高
+ CVE-2013-1846:針對活動 URL 提出 LOCK 要求時發生 mod_dav_svn 損毀
+ CVE-2013-1847:針對不存在的 URL 提出 LOCK 要求時發生 mod_dav_svn 損毀
+ CVE-2013-1849:針對活動 URL 提出 PROPFIND 要求時發生 mod_dav_svn 損毀
+ CVE-2013-1884:mod_dav_svn 在記錄 REPORT 中的限制超出範圍時損毀
- 深入變更:
+ 用戶端錯誤修正:
- 已改善關於 svn:date 和 svn:author props 的錯誤訊息。
- 修正 local_relpath 宣告
- 修正透過 svn:// 之 `svn log` 中的記憶體洩漏
- 修正使用 neon http 程式庫時的不正確 authz 失敗
- 修正使用 kwallet 時的分割錯誤
+ 伺服器端錯誤修正:
- svnserve 將記錄 replayed 修訂版,而不是 low-water 修訂版。
- mod_dav_svn 將針對活動 url 省略一些內容值
- 修正當在 / 上作為 Proxy 執行時 mod_dav_svn 中的宣告
- 改善認可 mod_dav_svn 中內容時的記憶體使用量
- 修正 svnrdump 以載入含有非 LF 行結尾的轉儲存檔案
- 修正 rep-cache 無法存取時的宣告
- 已改善 mod_dav_svn 的鎖定實作中的邏輯。
- 避免在具有限制的記錄中執行不必要的程式碼
- 開發人員可看到的變更:
+ 一般:
- 修正 Windows 上 dav_svn_get_repos_path() 中的宣告
- 修正 get-deps.sh 以正確下載 zlib
- doxygen docs 現在將在產生索引時忽略前置詞
- 修正 freebsd 上的 get-deps.sh
+ 繫結:
- javahl 狀態 api 現在會遵循 ignoreExternals 布林值
- 針對上游來源變更,重新整理 subversion-no-build-date.patch
解決方案
更新受影響的 subversion 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=813913
https://lists.opensuse.org/opensuse-updates/2013-04/msg00095.html
Plugin 詳細資訊
嚴重性: Medium
ID: 74976
檔案名稱: openSUSE-2013-345.nasl
版本: 1.6
類型: local
代理程式: unix
已發布: 2014/6/13
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
弱點資訊
CPE: p-cpe:/a:novell:opensuse:libsvn_auth_gnome_keyring-1-0, p-cpe:/a:novell:opensuse:libsvn_auth_gnome_keyring-1-0-debuginfo, p-cpe:/a:novell:opensuse:libsvn_auth_kwallet-1-0, p-cpe:/a:novell:opensuse:libsvn_auth_kwallet-1-0-debuginfo, p-cpe:/a:novell:opensuse:subversion, p-cpe:/a:novell:opensuse:subversion-bash-completion, p-cpe:/a:novell:opensuse:subversion-debuginfo, p-cpe:/a:novell:opensuse:subversion-debugsource, p-cpe:/a:novell:opensuse:subversion-devel, p-cpe:/a:novell:opensuse:subversion-perl, p-cpe:/a:novell:opensuse:subversion-perl-debuginfo, p-cpe:/a:novell:opensuse:subversion-python, p-cpe:/a:novell:opensuse:subversion-python-debuginfo, p-cpe:/a:novell:opensuse:subversion-ruby, p-cpe:/a:novell:opensuse:subversion-ruby-debuginfo, p-cpe:/a:novell:opensuse:subversion-server, p-cpe:/a:novell:opensuse:subversion-server-debuginfo, p-cpe:/a:novell:opensuse:subversion-tools, p-cpe:/a:novell:opensuse:subversion-tools-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2013/4/8
參考資訊
CVE: CVE-2013-1845, CVE-2013-1846, CVE-2013-1847, CVE-2013-1849, CVE-2013-1884